Lorsqu'ArcGIS Server fait son travail, il doit démarrer et arrêter des processus, lire et écrire des données dans des emplacements du système de fichiers et communiquer entre les ordinateurs. Pour effectuer ces opérations en toute sécurité, il utilise un compte de système d'exploitation que vous spécifiez lorsque vous installez ArcGIS for Server. On parlera dans cette documentation du compte ArcGIS Server.
Quand est-ce que le compte ArcGIS Server est-il utilisé ?
Il est utilisé pour effectuer les opérations suivantes :
- Démarrer et arrêter les processus qui assurent le fonctionnement des services et du serveur SIG.
- Lire les données SIG de base de vos services.
- Lire et écrire des fichiers dans les répertoires d'ArcGIS for Server. Par exemple, lorsque vous créez un cache de carte, le compte ArcGIS for Server écrit les tuiles du cache dans le répertoire de cache du serveur.
- Lire et écrire des fichiers dans le magasin de configuration. Par exemple, lorsque vous créez un cluster dans le gestionnaire, le compte ArcGIS for Server écrit les informations de configuration du cluster dans des fichiers du magasin de configuration.
- Lire et écrire des fichiers dans le répertoire d'installation d'ArcGIS for Server et le répertoire temporaire du système. Par exemple, le compte écrit des fichiers journaux que vous pouvez utiliser pour dépanner le serveur.
- Lire et écrire des messages de consignation dans le répertoire des journaux.
Remarque :
Ne confondez pas le compte ArcGIS Server et celui de l'administrateur principal du site que vous définissez lorsque vous créez le site ArcGIS Server. Pour plus d'informations, reportez-vous à la rubrique Sécurisation du site ArcGIS Server.
Quel compte dois-je désigner comme étant le compte ArcGIS Server ?
Par défaut, le compte ArcGIS Server, prend le nom arcgis. Dans la plupart des déploiements non destinés à la production, cette valeur par défaut s'avère suffisante ; cependant, pour les systèmes de production, il est conseillé de créer un compte de domaine ou Active Directory avant d'installer ArcGIS Server. Si l'expiration des mots de passe est exigée par la stratégie de sécurité de votre organisation, notez que vous devrez exécuter l'utilitaire Configurer le compte ArcGIS Server pour mettre à jour le mot de passe qui a expiré.
Vous êtes autorisé à spécifier un compte local ou un compte de domaine. La méthode recommandée consiste à exporter le fichier de configuration et à le réutiliser sur les installations suivantes d'ArcGIS Server. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur tous les serveurs SIG de votre site.
Utilisation d'un compte local
Si vous avez choisi un compte local, ce compte et le mot de passe doivent exister sur chaque serveur SIG et être identiques. Sur un site doté de plusieurs serveurs SIG, chacun d'entre eux doit utiliser le même compte ArcGIS Server. Si vous spécifiez un compte local qui n’existe pas, un compte est créé pour vous à l'installation.
Si vous créez un compte local dans le cadre de l'installation, le mot de passe que vous attribuez au compte doit respecter la stratégie de sécurité locale de votre système d'exploitation. Si le mot de passe ne respecte pas le niveau de sécurité minimal requis par votre système d'exploitation, l'installation renvoie une erreur. Pour obtenir une explication des conditions requises sous Windows, procédez comme suit :
- Dans le Panneau de configuration, ouvrez Stratégie de sécurité locale et développez Stratégies de comptes.
- Sélectionnez le dossier Stratégie de mot de passe et double-cliquez sur Le mot de passe doit respecter des exigences de complexité.
- Dans la boîte de dialogue Le mot de passe doit respecter des exigences de complexité cliquez sur l'onglet Expliquer.
Utilisation d'un compte de domaine
Un compte de domaine permet d'accéder plus facilement aux données sur les systèmes distants. Dans de nombreux cas, un compte de domaine est également préférable pour des raisons de sécurité, car le compte est géré centralement.
Pour spécifier un compte de domaine, suivez le format DOMAINE\utilisateur. Si vous ne spécifiez aucun domaine, un compte local avec le même nom d'utilisateur est créé. Si vous spécifiez un compte de domaine qui n'existe pas, l'installation renvoie une erreur.
Si vos paramètres de connexion interdisent l'accès à la machine où est installé ArcGIS Server, une erreur se produira à l'installation. Il n'est pas nécessaire d'accorder au compte ArcGIS Server des paramètres de la stratégie de groupe Ouvrir une session localement. Pour plus d'informations, reportez-vous à la rubrique Considérations avancées lors de l'utilisation de comptes de domaine.
Je possède un compte SOC provenant d'une installation précédente d'ArcGIS for Server. Puis-je le désigner comme compte ArcGIS Server ?
Les versions précédentes d'ArcGIS Server nécessitent la création d'un compte appelé compte utilisateur du conteneur ArcGIS, qui doit disposer d'autorisations sur tous les dossiers de données. Si vous possédez déjà un compte SOC et les autorisations associées, vous pouvez le spécifier comme compte ArcGIS for Server si vous le souhaitez. Ceci peut réduire ou éliminer la réaffectation des autorisations que vous devez réaliser au cours de la migration.
Puis-je utiliser le compte Système local comme compte de connexion pour exécuter ArcGIS Server ?
Les gens demandent souvent si le service Windows d'ArcGIS for Server peut être configuré pour s'exécuter sous un compte Système local natif de Windows. Cela est possible. Pour ce faire, cliquez avec le bouton droit sur le service ArcGIS for Server dans la boîte de dialogue Services Windows et configurez les propriétés du service de manière à ce qu'il se connecte en tant que Système local. Tenez compte des points suivants si vous configurez le service de cette manière :
- Le compte Système local dispose de privilèges élevés avec des implications en matière de sécurité que vous devez connaître. Pour en savoir plus, consultez l'article sur le compte Système local dans le centre de développement de Microsoft.
- Le compte Système local n'a pas vocation à accéder aux emplacements réseau. Pour que le compte puisse accéder aux données de votre service et du site, elles doivent être stockées localement.
- Sur un site doté de plusieurs serveurs SIG, n'utilisez pas Système local comme compte ArcGIS Server.
Quels privilèges dois-je octroyer au compte ArcGIS Server ?
Lors de l'installation d'ArcGIS for Server, des privilèges sont octroyés au compte ArcGIS Server. Ils permettent d'effectuer des fonctions de base, telles que démarrer et arrêter des processus serveur. Des autorisations de lecture sur tous les dossiers du répertoire d'installation d'ArcGIS for Server sont également accordées au compte, ainsi que des autorisations de contrôle total sur les dossiers suivants :
- <répertoire d'installation d'ArcGIS for Server>\framework
- <répertoire d'installation d'ArcGIS for Server>\geronimo
- <répertoire d'installation d'ArcGIS for Server>\usr
- <répertoire d'installation d'ArcGIS for Server>\bin
- <répertoire d'installation d'ArcGIS for Server>\XMLSchema
- <ArcGIS for Server installation directory> \DatabaseSupport
Avant de créer votre site, vous devez accorder les autorisations suivantes au compte ArcGIS for Server :
- Autorisations d'accès en lecture et en écriture à l'emplacement où seront créés vos répertoires de serveur. N'oubliez pas que vous devez accorder au compte ArcGIS Server des autorisations en lecture et en écriture à tout nouveau répertoire créé après la configuration de votre site.
- Autorisations d'accès en lecture et en écriture à l'emplacement où sera créé votre magasin de configuration.
- Autorisations d'accès en lecture et en écriture à l'emplacement <ArcGIS Server installation directory>\arcgisserver\logs et autorisation de créer ce dossier si vous ne l'avez pas déjà fait manuellement.
- Autorisations en lecture aux répertoires contenant les fichiers de connexion à la base de données que vous inscrivez auprès du serveur avant la publication. Si vous comptez utiliser l'authentification Windows au lieu de l'authentification de la base de données, vous devez également accorder un accès en écriture au compte.
- Autorisations en lecture aux répertoires de données SIG que vous inscrivez auprès du serveur avant la publication. Si vous autorisez le processus de publication à copier vos données sur le serveur (reportez-vous à la rubrique Copie automatique de données sur le serveur lors de la publication), les données sont placées dans vos répertoires de serveur sur lesquels le compte ArcGIS Server s'est vu octroyer des autorisations. Vous n'êtes pas obligé d'accorder d'autres autorisations d'accès à vos répertoires de serveur d'origine.
- Autorisations de contrôle total sur le dossier Python27. Par défaut, ce dossier se trouve sur C:\Python27.
Lorsque vous créez votre site, des autorisations en lecture et en écriture sur le répertoire des journaux d'ArcGIS Server sont accordées au compte ArcGIS Server. Si vous créez un nouvel emplacement pour les journaux, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur ces répertoires.
Le compte ArcGIS Server n'a pas besoin de faire partie du groupe Administrateurs sur les machines de votre site.
Modification du compte ArcGIS Server
Il n'est pas nécessaire d'exécuter à nouveau l'installation d'ArcGIS Server pour modifier le compte ArcGIS Server. Après l'installation, vous pouvez modifier le compte en exécutant l'utilitaire Configurer le compte ArcGIS for Server, fourni avec le logiciel. Vous pouvez être amené à effectuer cette opération à la suite d'une modification de la stratégie de sécurité ou lorsque vous dépannez le serveur.
Il est conseillé de faire appel à cet utilitaire au lieu d'essayer de modifier manuellement le compte ArcGIS for Server avec les outils de votre système d'exploitation. Cet utilitaire a été conçu pour appliquer des autorisations à tous les répertoires nécessaires (comme expliqué ci-dessus) sur toutes les machines de votre déploiement. Si vous tentez de modifier manuellement le compte et que vous commettez une erreur, cela peut entraîner une panne et une indisponibilité du serveur.
Pour modifier le compte ArcGIS Server à l'aide de l'utilitaire, procédez comme suit :
- Sur un serveur SIG de votre site, accédez à l'utilitaire à partir du menu Démarrer de Windows en cliquant sous ArcGIS > ArcGIS for Server > Configurer le compte ArcGIS Server.
- Indiquez le nom d'utilisateur et le mot de passe du compte que vous souhaitez désigner comme compte ArcGIS Server. Cliquez sur Suivant.
- Vous pouvez éventuellement indiquer les emplacements du répertoire du serveur racine et du magasin de configuration utilisés par votre site ArcGIS for Server. Par exemple
- Si votre répertoire du serveur racine et votre magasin de configuration sont accessibles via des chemins d’accès locaux avec lettres de lecteurs, et que vous spécifiez ces répertoires dans l'utilitaire, ce dernier octroie automatiquement au nouveau compte des autorisations d'accès en lecture et en écriture sur ces répertoires.
- Si votre répertoire de serveur racine et votre magasin de configuration utilisent des chemins d'accès réseau (UNC), ne renseignez pas ces champs et accordez manuellement au nouveau compte des autorisations d'accès en lecture et en écriture aux répertoires après avoir exécuté l'utilitaire.
- Vous pouvez éventuellement spécifier l'emplacement du répertoire des journaux. Si vous indiquez un emplacement, l'utilitaire accorde automatiquement au nouveau compte des autorisations en lecture et en écriture au répertoire. Si vous n'indiquez rien dans ce champ, vous devez accorder manuellement au nouveau compte des autorisations d'accès en lecture et en écriture aux répertoires sur chaque serveur SIG de votre déploiement après avoir exécuté l'utilitaire.
Remarque :
Le répertoire des journaux n'est pas lié aux répertoires des serveurs, ni à l'emplacement du magasin de configuration. Si vous modifiez l'emplacement du répertoire des journaux, tâchez de choisir un emplacement au niveau racine de votre serveur SIG. Il est impossible de désigner un répertoire réseau comme emplacement pour les journaux. Pour plus d'informations, reportez-vous à la rubrique A propos des journaux du serveur.
- Cliquez sur Suivant.
- Dans la boîte de dialogue Exporter le fichier de configuration du serveur, veuillez tenir compte des points suivants :
- Si votre déploiement se compose d'un seul serveur SIG, vous pouvez éventuellement enregistrer le fichier de configuration. Veillez à le stocker dans un emplacement sécurisé. Cliquez sur Suivant.
- Si votre déploiement comprend plusieurs serveurs SIG, exportez le fichier de configuration. Cela vous évite de devoir saisir à nouveau les informations dans l'utilitaire pour les autres machines de votre site. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur tous les serveurs SIG de votre site. Indiquez un emplacement sécurisé pour le fichier de configuration, puis cliquez sur Suivant.
- Passez en revue les propriétés du compte affichées dans le volet de résumé, puis cliquez sur Configurer. Votre nouveau compte est alors configuré comme compte ArcGIS Server. Fermez l'utilitaire.
- Exécutez l'utilitaire sur chaque machine restante du site. Vous pouvez faire pointer l'utilitaire sur le fichier de configuration créé précédemment ou saisir à nouveau les informations fournies ci-dessus.
- Accordez au nouveau compte des autorisations en lecture aux répertoires de données aux fichiers de connexion à la base de données que vous avez inscrits auprès du serveur. Si vous utilisez l'authentification Windows au lieu de l'authentification de la base de données, vous devez également accorder un accès en écriture aux fichiers de connexion. Pour plus d'informations sur cette opération, reportez-vous à la rubrique Inscription de vos données auprès d'ArcGIS Server à l'aide d'ArcGIS for Desktop.
Modification du compte ArcGIS Server à partir de la ligne de commande
Vous pouvez modifier le compte ArcGIS Server en faisant appel à l'utilitaire de la ligne de commande dans <dossier d'installation d'ArcGIS for Server>\bin\ServerConfigurationUtility.exe. Il peut être judicieux d'écrire un script visant à mettre à jour le compte après l'application des mises à jour à la stratégie de sécurité de votre organisation.
Les paramètres disponibles sont les suivants :
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> : chemin d'accès facultatif vers un fichier de configuration que vous avez enregistré lors d'une exécution précédente de l'utilitaire.
- <writeconfig> : chemin d'accès facultatif dans lequel un fichier de configuration sera enregistré afin que vous puissiez appliquer les mêmes propriétés lors des exécutions futures de l'utilitaire.
- <username> : nom à utiliser pour le compte ArcGIS for Server.
- <password> : mot de passe du compte ArcGIS for Server.
- <rsdir> : chemin d'accès au répertoire racine du serveur. Ce paramètre est facultatif, mais si vous ne l'indiquez pas, vous devrez accorder manuellement au compte ArcGIS for Server des autorisations en lecture et en écriture sur le répertoire racine du serveur.
- <csdir> : répertoire du magasin de configuration. Ce paramètre est facultatif, mais si vous ne l'indiquez pas, vous devrez accorder manuellement au compte ArcGIS for Server des autorisations en lecture et en écriture sur le magasin de configuration.
- <logsdir> : chemin d'accès au répertoire des journaux d'ArcGIS Server. Ce paramètre est facultatif, mais si vous ne l'indiquez pas, vous devrez accorder manuellement au compte ArcGIS for Server des autorisations en lecture et en écriture sur le répertoire des journaux.
Exemple : ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Spécification des paramètres régionaux du compte ArcGIS for Server
Les paramètres régionaux du compte ArcGIS for Server sont définis sur les paramètres régionaux du compte Windows spécifié au cours de l'installation. Si aucun compte n'est spécifié et que le paramètre par défaut est utilisé (arcgis), les paramètres régionaux du compte sont déterminés par les paramètres de votre système d'exploitation. Les paramètres régionaux sont importants, étant donné que tous les messages générés par le serveur, tels que les journaux, sont affichés conformément aux paramètres régionaux du compte ArcGIS for Server. Pour afficher les messages du serveur dans une autre langue ou un autre format, vous devez procéder comme suit :
- Connectez-vous à l'aide du compte ArcGIS Server sur la machine qui héberge ArcGIS Server.
- Ouvrez le Panneau de configuration et sélectionnez Région et langue.
- Cliquez sur l'onglet Formats et sélectionnez le pays de votre choix dans la liste déroulante Format.
- Cliquez sur l'onglet Claviers et langues et remplacez la Langue d'affichage par la langue de votre choix.
- Cliquez sur l'onglet Administration et sélectionnez les paramètres régionaux système de votre choix en cliquant sur le bouton Modifier les paramètres régionaux.
- Cliquez sur OK.
Vous avez un commentaire à formuler concernant cette rubrique ?